监控高风险Azure登录事件 - 企业安全防护实战指南

本文详细解析如何利用Azure AD身份保护功能监控高风险登录事件,包含实时检测技术分析、风险等级判定标准、典型攻击特征识别方法,并附赠可立即部署的Sigma检测规则。

高风险Azure登录监控实践

近期在安全运营中心(SOC)工作中,我们通过合作伙伴通报发现一起潜在的企业邮箱入侵(BEC)事件。这类威胁通常通过以下方式被发现:

  • 可疑邮件转发规则检测
  • 异常行为分析服务
  • 合作伙伴安全通报(如本次案例)

在攻击链中越早发现此类事件,防御效果越好。这促使我们开始调查Azure AD身份保护(现称Entra身份保护)标记的高风险登录行为。

风险等级分类机制

Entra ID保护将风险划分为三个等级:

  1. 低风险
  2. 中风险
  3. 高风险

当潜在攻击者可能已获取账户权限时,系统会附加atRisk标签。风险判定基于Entra ID对信号的可信度评估,采用以下检测技术:

  • 实时检测
  • 离线分析

注意:未购买Azure AD P2许可证的组织将受限于此服务的检测能力

调查方法论

理解Entra ID的检测依据后,调查流程将变得清晰。关键调查属性包括:

  • IP地址
  • 操作系统
  • 自治系统号(ASN)
  • 来源国家

发现atRisk登录后,建议调查步骤:

  1. 查询相关用户账户
  2. 对比该账户周边登录日志
  3. 建立用户正常行为基线

多因素认证(MFA)关联检测

与MFA事件强关联的检测最为有效。逻辑在于:当MFA请求发送至设备时,用户密码很可能已泄露。本文末尾提供的Sigma规则已包含此检测逻辑。

误报分析

常见误报场景:

  • 移动设备登录(占比较高)
  • 差旅导致的IP地址变更

真实攻击特征往往非常明显,例如:

  • 用户通常使用Windows设备登录
  • 突然出现Mac设备跨国登录

Azure atRisk登录事件处理

通过密切监控这些警报,我们得以在攻击链早期拦截更多威胁事件。

Sigma检测规则 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

title: 需要MFA的高风险Azure登录
status: 已测试
description: 利用Azure AD身份保护服务检测需要MFA批准的高风险云账户登录,此类事件表明用户密码可能已泄露。
references:
author: David Perez
date: 2024/07/16
tags:
  - attack.t1528
  - attack.credential_access
logsource:
  product: azure
  service: signinlogs
detection:
  selection:
    risk_state: 'atRisk'
    authentication_requirement: 'multiFactorAuthentication'
  risk1:
    risk_level_aggregated: 'High'
  risk2:
    risk_level_during_signin: 'High'
  condition: selection and 1 of risk*
falsepositives:
  - 已知出差用户(最常见)
  - 使用新设备认证(如移动设备)

Entra风险检测时效

检测类型 延迟时间
实时检测 5-10分钟
离线检测 最长48小时

风险检测类型对照表

(完整表格参见原文技术参数部分)

技术资源

  1. Entra ID保护调查指南
  2. 风险概念解析
  3. 许可证要求说明
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次